Dernières versions d'ovidentia

Dernières mises à jour

Derniers sujets du forum


RE:403 Access Forbidden

Gestion des utilisateurs, groupes et droits

OVIDENTIA  supporte une authentification des utilisateurs (ou seulement de certains) pouvant s'appuyer sur un annuaire LDAP ou Active Directory ou sur une base de données utilisateurs géré en interne dans le portail.

Des scripts de synchronisation permettent d'interfacer ces annuaires externes avec les bases d'utilisateurs et de groupes d'utilisateurs d'OVIDENTIA.

La gestion des droits d'accès dans OVIDENTIA est basée sur la notion de Groupes d'Utilisateurs.

Chaque utilisateur peut faire partie de plusieurs groupes.

Les groupes peuvent être organisés sous forme de hiérarchie :

Exemple de hiérarchie de groupes 

Pour chaque « objet » du portail (rubrique, répertoire de fichiers, forum, FAQ, agenda, ...), la gestion des droits d'accès permet de spécifier quel(s) groupe(s) peut telle ou telle action sur l'objet : visualiser, modifier, gérer, ...

Exemple de droits d'accès à une rubrique (ou thème) d'articles :

 

 

Définition des rôles et gestion des droits utilisateurs

Les rôles assumés par les utilisateurs du portail sont fonction des droits d'accès qui leurs sont conférés.

Un utilisateur peut cumuler plusieurs rôles : il peut être administrateur d'un site ou d'un sous-site et simple utilisateur dans un autre site ou sous-site. En réalité, cette notion de rôle peut être attribuée au niveau de chaque objet du portail : rédacteur dans une rubrique, validateur dans une autre et simple utilisateur pour une troisième.

Il est possible d'identifier les rôles suivant au sein d'un portail OVIDENTIA  :

  • Administrateur : il dispose de l'ensemble des droits d'administration pour un site donné et peut notamment créer d'autres sites (dans un contexte multi-sites) ou des délégations d'administration
  • Administrateur délégué : il dispose des droits d'administration spécifiés par un Administrateur
  • Validateur : utilisateur mentionné (nominativement ou via une fonction qu'il assume dans un organigramme) dans un schéma (Workflow) d'approbation
  • Rédacteur : utilisateur membre d'un groupe mentionné comme pouvant proposer des articles dans au moins une rubrique ou  une FAQ, ...
  • Utilisateur : tout utilisateur disposant des droits de consultation sur les contenus (articles, FAQs, fichiers, ...)

 

Granularité des permissions

Les droits d'accès sont attribués au niveau de chaque objet (rubrique d'articles, forum, FAQ, répertoire de fichiers, ...) par des ACLs (Access Control Lists) permettant de stipuler quels sont les groupes qui peuvent consulter, mettre à jour, gérer, ... l'objet.

Un utilisateur peut faire partie de plusieurs groupes.

Un groupe peut ne contenir qu'un utilisateur.

Pour chaque droit, les ACLs permettent de mentionner plusieurs groupe.

Les groupes peuvent être sélectionnés individuellement ou hiérarchiquement dans l'arborescence de groupes. Dans ce cas, les droits sont attribués au groupe mentionné ainsi qu'à tous les groupes sous-jacents dans l'arborescence.

Exemple de sélection dans les ACL

Dans l'exemple ci-dessus qui présente l'ACL associée à la rubrique d'articles « Les dernières infos », les cases à cocher de droite permettent de sélectionner individuellement chaque groupe (exemple 1 : groupe DRH).
Les cases de gauche permettent elles de sélectionner un groupe et tous les groupes sous-jacents (exemple 2 : groupe Communication et ses enfants, en l'occurence le groupe Site Web).

  
Up